CVE-2026-48710 in starlette
要約
〜によって VulDB • 2026年05月27日
Starletteは軽量なASGIフレームワーク/ツールキットです。バージョン1.0.1より前では、HTTP `Host` リクエストヘッダーは `request.url` の再構築に使用される前に検証されていませんでした。ルーティングアルゴリズムは生のHTTPパスに依存しているのに対し、`request.url` は `Host` ヘッダーから再構築されるため、不正なヘッダーにより `request.url.path` が実際にリクエストされたパスと異なる可能性があります。`request.url` (生の `scope` パスではなく)に基づいてセキュリティ制限を適用するミドルウェアやエンドポイントは、これにより回避される可能性があります。ユーザーは、`request.url` を構築する際に `Host` ヘッダーをRFC 9112 §3.2 / RFC 3986 §3.2.2の文法に対して検証し、不正な値に対しては `scope["server"]` にフォールバックする、バージョン1.0.1以上のバージョンにアップグレードする必要があります。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.